Множественные уязвимости в PHP

> Я не вижу ни одного аргумента ЗА использование PHP. Ну, кроме кажущейся дешевизны хостинга.

Хе-хе, и на скольких же ты php хостингах не нашёл perl? И где, спрашивается, тонна полезного кода и сайтов на оном?

>Хе-хе, и на скольких же ты php хостингах не нашёл perl?

А смысл? Если сами хостеры советуют использовать PHP и свои панели управления пишут так же на PHP. Perl нещадно грузит сервер. Как бы ни был крут сам исструмен.

> а можно примерчик "не только гостевухи" на пых-пых? теоретически, мы все -- гении :)

http://mamboserver.com/

Java хорошая вещь, спору нет, но как-то она не прижилась в качестве решения на каждый день. Вот и ответили бы, раз все такие умные, почему её практически в одном корпоративном секторе и применяют?

Вариант с быдлокодерами - в биореактор, сложность программирования на php и java примерно одинаковая.

> 1. В современных дистрах - по фигу на простоту установки. Разве что
> речь идёт о сервере детского сада - тогда да, тогда PHP поставить
> чуть проще, чем JBoss.

Мсье тащится от процесса инсталляции ? Я предпочитаю дать команду yum install php и заниматься другими более полезными вещами.

> 2. Кого вообще сношает размер?!?

Даже не знаю что ответить... Вообще-то размер волнует практически всех, ты наверное странное исключение.

> 3. Синтаксис и семантика PHP таковы, что как бы ты не выдерживал
> стиль, а получится нечто кривое, громоздкое и нечитабельное.
> Потому как сам язык дюже поганый, хиленький и кривенький.

Есть пословица про плохого танцора. Напомнить ?

> 4. Java - тормоз? Ты с какой Луны свалился? Java работает на порядки
> быстрее пыхпыхпыха! PHP - самая кривая технология для веба из всех
> существующих, только очень больной фанатик будет гнать, что нет
> ничего лучше.

Похоже тебе просто обидно или завидно, что такая простая и элегантная технология как PHP является такой популярной и широкораспространенной, поскольку твои аргументы - только эмоции, ничего конкретного :)

>И где, спрашивается, тонна полезного кода

http://search.cpan.org

>сложность программирования на php и java примерно одинаковая

Нет. PHP проще в 100 раз. Но на Java правильнее писать если есть свой, выделенный сервер.

> Никто не говорит, что написать хорошее приложение на PHP нельзя.

Как это не говорит? ;-) Три сообщения вверх:

> "Синтаксис и семантика PHP таковы, что как бы ты не выдерживал стиль, а получится нечто кривое, громоздкое и нечитабельное."

Зачёт? ;-)))

> Только вот глупо это, писать хорошие приложения на плохом языке.

Готов рассказать что такое "плохой язык"? Сомневаюсь. Скорее всего быдет лишь поток жалоб на "нелогичность" конструкций. Но ровно до тех пор, пока не придут фанаты именно такого подхода и не выскажут всё, что дымают. :) К языку мгожно лишь один критерий предъявить - обладает ли тьюренговской полнотой. php - обладает. ;-) А в остальном... Вряд ли кто-то сможет не кривя душой сказать, что php не затачивался под web. А раз затачивался - значит и пользуют.

hp - это инструмент. И очень часто заказчики сайтов посылают тех кто не может сделать на нем.

У меня есть несколько знакомых использующих перл и яву наряду с пхп для создания старниц. Вот только заказчики обычно от таких реализаций шарахуются и потом не разу не обращаются к ним. И они постепенно начинают делать только на пхп, а знания ява и перла остаются невостребованными.

Такова реальность и ее неисправить. Пхп занял эту нишу. Вытеснить его отсюда можно только настолько же специализированным языком.

Кривости языков на используемость не влияют. Перл крив до безобразия. Но используется. Ява крива, но используется. C++ крив, но используется. Только каждый в своей нише.

Специфика web такова что для него желательно использовать инструмент который занимает только нишу web. Хотите занять эту нишу. Отсеките все что помагает использовать в других нишах.

Хорошее по функциональности приложение может быть громоздким дерьмом внутри.

И, таки да, PHP НЕ ЗАТАЧИВАЛСЯ ПОД ВЕБ. Ни разу.

>По поводу perl смотреть http://www.dklab.ru/chicken/nablas/2.html

Опять - уровень гостевух. Никто не спорит, что для *примитивных* задач пых-пых удобнее. Как Basic удобнее C для рисования одной линии на экране.

>в котором изначально задуманы $_GET, $_POST, $_COOKIE, $_SESSION

А, ну да... Это офигенное улучшение по сравнению с использованием двух модулей!

>то что в других языках делается через внешние модули/классы в пхп реализовано изначально

Давным-давно, когда деревья были большими, трава зелёной, бабы - толстыми, а nsav ещё не родился, был такой язык - PL/1. В нём тоже было ВСЁ. И где сейчас этот язык? И был ещё один язык - C. В котором не было ничего, всё реализовывалось с помощью убогой технологии подключения внешних библиотек. И где сейчас _этот_ язык?

>input name="n[]"

Это что такое? Пресловутый код в шаблонах, который надо ДАВИТЬ?

>Perl нещадно грузит сервер. Как бы ни был крут сам исструмен.

А ответить за базар?

>например покажи мне в CPAN модуль отправки мыла через SOCKS прокси

Если нет - напиши, и будет. Или что-то своё делать для community религия не позволяет?

>>И где, спрашивается, тонна полезного кода

>http://search.cpan.org

Э... http://pear.php.net/ ;-)

Штатные завалы, да, присутвуют. О количестве модулей для perl я тоже осведомлён. Наверное, не корректно спросил. Тех же систем, типа mambo, php-nuke и т.д. много?

Интервью Расмуса Лердорфа (http://www.phpclub.ru/detail/article/2002-10-30?printVersion=1): ... PHP всегда пытается найти кратчайший путь в решении проблемы веба. Он не пытается стать языком сценариев общего назначения, и любой, кто ищет решения проблем интернета, найдёт прямое решение при помощи PHP. Многие альтернативы, которые претендуют на решение проблем интернета, просто слишком сложны. Когда вам нужно что-то установленное и работающее к пятнице, чтобы не надо было тратить все выходные листая восьмисотстраничные мануалы, PHP начинает выглядеть довольно хорошо. ... Решение проблемы до 5 вечера, чтобы потом вы могли пойти в кино с подругой ...

Так что дрочите молча без подруги :))

>1. ...Удачная эксплуатация уязвимости требует, чтобы опция register_globals была включена в конфигурационном файле PHP

по умолчанию выключено. включать не рекосендуется (хотя если программер криворук ;)

>2. Обнаружена ошибка при обработке входных данных в функции "parse_str()",

эта функция тяжелое наследие perl. Если ей кто и пользуется, то только Perl-программеры ;)

>3. Межсайтовый скриптинг возможен при обработке входных данных в функции phpinfo()

это простосмешно: во-первых "межсайтовый скриптинг" = "криворукий программер", а во-вторых phpinfo() --- :)))

>4. Удаленный пользователь может обойти механизмы безопасности "safe_mode" и "open_basedir" с помощью модулей "ext/curl" и "ext/gd".

"safe_mode" и "open_basedir" - защита от криворуких программеров :)

>5. Неопределенная ошибка при вызове функции virtual() в Apache 2 может быть использована для обхода ограничений безопасности директив "safe_mode" и "open_basedir".

см. п.4

ЗЫ: не то чтобы эти уязвимости были высосаны из пальца, но если работать как написано в мануале(да и в любой трезвой книге по PHP ;) то это не уязвимости, а смех просто ;)))

> Нет. PHP проще в 100 раз.

Э... Ты, когда тебе нужен компьютер, не начинаешь с разработки собственного CPU? ;-) Доприсывание функциональности в готовые CMS требует примерно одного уровня усилий. Хотя, возможно, это мне так кажется. С Java я сам работал, но очень не много. Вот уж действительно - не предлагали...

> Но на Java правильнее писать если есть свой, выделенный сервер.

Не исключено.

> P.S. Всему свое место - лучше технологии для веб чем PHP пока не придумали. Perl - идеально для автоматических скриптов, Java - тормоз зато везде работает, питон - для фанатов типа любителей слаки.

Лучше чем PHP придумали Ruby on Rails ;)

> Кривости языков на используемость не влияют. Перл крив до безобразия. Но используется. Ява крива, но используется. C++ крив, но используется. Только каждый в своей нише.

Что и требовалось доказать. ;-) Может внести в правила? Предже чем критиковать язык - подумайте, а знаете ли вы хоть один ЯП, который никто и никогда не критиковал бы? ;-)

> Хорошее по функциональности приложение может быть громоздким дерьмом внутри.

Я тебе по секрету скажу - они почти все таковыми и являются. В том числе и комерческие, от серьёзных фирм... ;-)

> И, таки да, PHP НЕ ЗАТАЧИВАЛСЯ ПОД ВЕБ. Ни разу.

Смелое заявление для языка, который при рождении был personal homepage. Каковы критерии заточенности под web? :roll:

>например покажи мне в CPAN модуль отправки мыла через SOCKS прокси

Net::SMPT только сокет надо самому создать

>Доприсывание функциональности в готовые CMS требует примерно одного уровня усилий.

Одного уровня с чем? Я лично некоторое время своей жизни провёл во внутренностях phpBB. Тем, кто это писал, надо всё оторвать оттуда где растёт, и приставить туда, где расти должно!

>при рождении был personal homepage

Вот именно. Пусть бы и оставался на том уровне.

Но вот. Сам же и признал что он этот уровень давно перешагнул. :)

Все течет, все изменяется. Ниши продуктов тоже смещаются с их развитием и изменением среды обитания этих продуктов. :)

>Perl нещадно грузит сервер. Как бы ни был крут сам исструмен.

Кого ипут проблемы хостеров? Не может обеспечить премлемого качества сервиса - значит автоматом идет в топку.

> Я лично некоторое время своей жизни провёл во внутренностях phpBB.

Какой версии? 1.x, 2.x?

> Тем, кто это писал, надо всё оторвать оттуда где растёт, и приставить туда, где расти должно!

Да, некоторые из их методов... хм... озадачивают. ;-)

> Пусть бы и оставался на том уровне.

Он бы и остался, но его всё дописывают, дописывают... Open Source Community, ничего не поделаешь.

Второй версии. Первая кажется уже давно покоится с миром.

Основное что меня там бесит - 50% кода лежит в шаблонах. Я не фанат RUP или XP, но элементарную культуру программирования надо иметь!!!

Внимание: поскольку ряд анонимусов опять начал переходы на личности, ответы им по теме больше не выдаются. Остальные их проблемы будут решаться совместно с модераторами.

Однако! ;-) Следует отметить, что мне безразлично, с какой версии в языке и/или системе появилось та или иная фича. Я не использовал и не собираюсь использовать php 1.0. Мне всё равно как именно реализована нужная функциональность - хардкорно или кодом на самом php. Всё, что идёт в зачёт - можно ли заставить систему делать то, что нужно с приемлимой скоростью.

>Но вот. Сам же и признал что он этот уровень давно перешагнул. :)

_Язык_ и _платформа_ остались на том же уровне. Если завтра придурки начнут использовать Java для системного администрирования, это не значит что Java переросла уровень web-приложений и заточена под системное администрирование.

>Всё, что идёт в зачёт - можно ли заставить систему >делать то, что нужно с приемлимой скоростью.

Флаг в руки, барабан на шею... удачи... :)

> Второй версии. Первая кажется уже давно покоится с миром.

Я, однако, не телепат и не знаю сколько тебе лет и когда ты с phpBB ковырялся. :)

> Основное что меня там бесит - 50% кода лежит в шаблонах.

Э... Мы точно об одной системе говорим? В phpBB 2.0.x код в шаблонах использовать нельзя в принципе.

>>Perl нещадно грузит сервер. Как бы ни был крут сам исструмен.

>Кого ипут проблемы хостеров? Не может обеспечить премлемого качества сервиса - значит автоматом идет в топку.

Тех кто платит за хостнинг. Ибо, обычно, это дороже.

> Флаг в руки, барабан на шею... удачи... :)

Ты знаешь, а я не жалуюсь! :-P Неужели у тебя какие-то другие критерии, кроме как возможности выполнить работу за оптимальное время с оптимальным качеством?

>>Perl нещадно грузит сервер. Как бы ни был крут сам исструмен.

>А ответить за базар?

Ладно-ладно. Только успокойся. Perl ни разу не крут. Устраивает?

Про механизм fastcgi слышал? Почему его прикручивают к Perl и хостеры советуют использовать вместо обычного cgi-bin Perl-а сам догадаешься?

2Eldhenn.

Задача была сформулирована так: "Простой пример простой задачи - вывести время сервера". Я подумал, что это требуется сделать внутри реального, работающего приложения. Соответственно и привёл своё возрожение. Иначе нет смысла в этой задаче. Кому интересен язык, оптимальный для написания хелловорлда? Тогда можно сказать, что шелл круче чем С/с++/жаба/лисп/хаскелл потому что на нём проще вывести время на экран,

Слышал. Только он ни разу не относится к Perl. А к apache. Это раз. Два - курить спецификацию CGI и искать там слово perl.

Слив засчитан.

Как кому - пых-пыховцам! Вон, ссылку давали, там тот же HelloWorld был. На пых-пых 5 строк, на perl 15. Как будто это что-то доказывает...

Задача была сформулирована так: "Простой пример простой задачи - вывести время сервера".

<% scalar localtime %> чистенько и культурно
это Mason, который работает под mod_perl.

В тему пыхпыхерства хорошо вписалось следущее обращение в новостях сайта:

http://www.fenzin.org/

> На сайте в настоящее время технические проблемы, архивы выдаются битыми. Но, все архивы имеют информацию для восстановления, потому на сообщение "Неожиданный конец архива" не обращайте внимания, а просто перетяните файл из WinRAR'овского окна куда-нибудь. В связи с этим срочно нужен человек, разбирающийся в php для устранения бага. Пишите fenzin@mail.ru.

Помогите человеку апологеты php. Полезное дело делает, электронную библиотеку держит и уже давно, но проблемы с неделю назад возникли.

Ну что слабо пыхпых разрулить? Там дурацкая ситуация когда любой файл выдается слегка не до конца. Например, если качать архив размером 270 184 байта, скачается 269 504. Пых-пых он такой.

> Ну что слабо пыхпых разрулить? Там дурацкая ситуация когда любой
> файл выдается слегка не до конца. Например, если качать архив
> размером 270 184 байта, скачается 269 504. Пых-пых он такой.

Код покажи отвечающий за отправку у тебя.

>>при рождении был personal homepage

>Вот именно. Пусть бы и оставался на том уровне.

кагда PHP был personal homepage, он был написан на Perl :)))

движок давно переписан на сях и "PHP" != "PHP/FI"

так что все крики PHP = personal homepage это просто от невежества

Ну и стал Hypertext Preprocessor. Подумашь, разница...

>Ну и стал Hypertext Preprocessor. Подумашь, разница...

ну если вам не видно, то скачайте старые исходники и исходники нового движка и курите до полного просветления

Какабычна. Зато на PHP можно корпоративные сайты уровня www.kremlin.ru лабать, прости госпидя, куда ж там джаве. Пусть потом через эти дыры логины и пароли дяди Пу в ЦРУ утащат, а пофигу. Главное, что не жаба.

>Неужели у тебя какие-то другие критерии, кроме >как возможности выполнить работу за оптимальное >время с оптимальным качеством?

скорость, она нужна только при ловле блох и при е*ле чужой жены...

есть еще такая штука как расширяемость, повторное использование кода и прочая, прочая...

и вещи с такими потенциями не пишутся по принципу - чтоб в пятницу к обеду работало...

зы ставший уже классическим, пример как в мамбе чуваки изголялись чтобы прикрутить к системе кэширование... и все равно - вышло черти что и с боку бантик...

Да, лихое обсуждение по поводу ущербности языков программирования. Так можно договориться и до ущербности, например, эстонского или финского по отношению к русскому. Не делает это чести, господа! Кому интересно, что написано на ПХП, загляните хотя бы на www.hotscripts.com. На ПХП там сейчас скриптов наверное больше, чем на всех остальных (включая asp, asp.net, perl, java) вместе взятых, от простых скриптов до систем групповой работы (groupware). Многие солидные компании (IMB например) договариваются о профессиональной поддержке этого языка в своих или поддерживаемых дистрибутивах. Этого что, мало? ПХП очень удобен для создания web-интерфейсов и формирования динамических страниц. Согласен, что не любой проект следует писать на нем. Однако в своей нише (как говорили некоторые) он весьма удобен. Мы проектировали в университете информационную систему, полностью работающую по Web-технологии. Когда-то это было на сервере NT 4.0, MS-SQL, asp. После перехода на Linux используем PHP. БОльшая часть логики написана на SQL. На ПХП - клиентские интерфейсы. Та часть кода, которая переписана с asp, сократилась раза в два. Скорость работы увеличилась. Проблем с безопасностью не испытываем. Может руки не сильно кривые? :) ПХП очень просто устанавливается практически под любую ОС, большинство известных Web-серверов, работает практически с любым SQL-сервером. Скорость разработки высокая. Синтаксис? Ну так С пополам с java + кое что от перла. Зачем же это еще обгаживать? Считаю, что большинство проблем не от языка, а от пользующихся им. Дыр в ПО, написанном на С или С++ намного больше. Значит, эти языки дерьмо? Лучше бы обсудили, как и на чем легче и элегантней написать те или иные примеры кода для Web. Это было бы предметнее, чем меряться п...ми, обделывая не нравящиеся вам языки программирования. Не нравится - не используйте. Хотите показать, что ваш язык лучше - приведите конкретные примеры. Вам покажут альтернативы. Может другие люди свое мнение в результате изменят, а може и вы не такими злыми станете:-)

> На ПХП там сейчас скриптов наверное больше, чем на всех остальных (включая asp, asp.net, perl, java) вместе взятых, от простых скриптов до систем групповой работы (groupware).

Только вот читабельность этих сниппетов и их сопровождаемость известна мне не понаслышке.

> Так можно договориться и до ущербности, например, эстонского или финского по отношению к русскому.

Не знаю, как там с эстонским и тем более финским языками. Но убогость языка Эллочки--людоедки по сравнению с языком Набокова очевидна и не вызвает сомнения.

> На ПХП там сейчас скриптов наверное больше, чем на всех остальных (включая asp, asp.net, perl, java) вместе взятых,

Милионы мух не могут ошибаться, поэтому с завтрашнего дня все будем есть гавно? И вообще иди на винфак с такими настоениями.

>Многие солидные компании (IMB например)

А почему бы и не развести лохов на бабки? Солидные компании рубят бабло, но это ещё не значит что пыхпых хороший язык.

>? ПХП очень удобен для создания web-интерфейсов

И в чём это заключается? Жду подробного, развёрнутого ответа.

> Та часть кода, которая переписана с asp, сократилась раза в два. Скорость работы увеличилась. Проблем с безопасностью не испытываем.

Делали бы на лиспе --- сократилось бы раз в двадцать. Аналогично и со скоростью. Что до безопасности, то как может быть безопасен скрипт, если ошибка в интерпретаторе?

> ПХП очень просто устанавливается практически под любую ОС

Ага, а когда я sbcl под дебиан ставил, я испытываю неимоверные сложности. ;0

> работает практически с любым SQL-сервером.

Пыхпых это единственный язык, обладающий таким достоинством?

> Скорость разработки высокая.

Выше про это уже было.

> Синтаксис?

Только очень неумное жывотное будет обращать на него внимания (исключая случаи вроде брайнфака или унлямбды). Семантика --- вот на что следует обращать внимание.

> Считаю, что большинство проблем не от языка, а от пользующихся им.

Вот и подумай, что это за язык, если его выбирают идиоты.

> Дыр в ПО, написанном на С или С++ намного больше.

Ну я бы не сказал.

>Лучше бы обсудили, как и на чем легче и элегантней написать те или иные примеры кода для Web

Можно. Предлагай задачу.

>Не нравится - не используйте.

И не буду.

>>? ПХП очень удобен для создания web-интерфейсов

>И в чём это заключается? Жду подробного, развёрнутого ответа.

мне удобно. вам - нет? не пользуйтесь. зачем холивар начинать?

>Вот и подумай, что это за язык, если его выбирают идиоты.

зачем так о людях? у вас проблемы? хотите поговорить об этом? ;)

>> Дыр в ПО, написанном на С или С++ намного больше.

>Ну я бы не сказал.

а на чем там винда написана? а на чем "пых-пых" написан?

дыры в пых-пых, пых-пых написан на С, ... ну вы поняли, да??? :)))

> Я не вижу ни одного аргумента ЗА использование PHP. Ну, кроме кажущейся дешевизны хостинга.

Какая дешевизна?
Один сервер потянет на порядки больше ASP.NET посетителей!